Назад | Перейти на главную страницу

Был ли этот сервер взломан?

Друг использует VPS (CentOS)

Его деловым партнером был сисадмин, но он оставил его в покое, чтобы заботиться о системе. Итак, меня попросили помочь в решении очевидной проблемы со спамом. Его IP-адрес попал в черный список нежелательной почты. Я не уверен, где искать проблему, но я начал с netstat, чтобы посмотреть, какие открытые соединения выполняются. Мне кажется, что у него есть удаленные хосты, подключенные к его SMTP-серверу. Вот результат:

    Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State      
tcp        0      0 78.153.208.195:imap         86-40-60-183-dynamic.:10029 ESTABLISHED 
tcp        0      0 78.153.208.195:imap         86-40-60-183-dynamic.:10010 ESTABLISHED 
tcp        0      1 78.153.208.195:35563        news.avanport.pt:smtp       SYN_SENT    
tcp        0      0 78.153.208.195:35559        vip-us-br-mx.terra.com:smtp TIME_WAIT   
tcp        0      0 78.153.208.195:35560        vip-us-br-mx.terra.com:smtp TIME_WAIT   
tcp        1      1 78.153.208.195:imaps        86-40-60-183-dynamic.:11647 CLOSING     
tcp        1      1 78.153.208.195:imaps        86-40-60-183-dynamic.:11645 CLOSING     
tcp        0      0 78.153.208.195:35562        mx.a.locaweb.com.br:smtp    TIME_WAIT   
tcp        0      0 78.153.208.195:35561        mx.a.locaweb.com.br:smtp    TIME_WAIT   
tcp        0      0 78.153.208.195:imap         86-41-8-64-dynamic.b-:49446 ESTABLISHED

Означает ли это, что его сервер может действовать как открытый ретранслятор? Почта должна исходить только с localhost.

Приносим извинения за недостаток знаний, но я не работаю над Linux в повседневной работе.

РЕДАКТИРОВАТЬ:
Вот некоторые результаты /var/log/maillog что похоже может быть результатом спама. Если другим кажется, что это так, где я должен искать дальше, чтобы исследовать первопричину? Я поместил IP-адрес сервера через www.checkor.com, и он вернулся чистым.

Jun 29 00:02:13 vps-1001108-595 qmail: 1309302133.721674 status: local 0/10 remote 9/20
Jun 29 00:02:13 vps-1001108-595 qmail: 1309302133.886182 delivery 74116: deferral: 200.147.36.15_does_not_like_recipient./Remote_host_said:_450_4.7.1_Client_host_rejected:_cannot_find_your_hostname,_[78.153.208.195]/Giving_up_on_200.147.36.15./
Jun 29 00:02:13 vps-1001108-595 qmail: 1309302133.886255 status: local 0/10 remote 8/20
Jun 29 00:02:13 vps-1001108-595 qmail: 1309302133.898266 delivery 74115: deferral: 187.31.0.11_does_not_like_recipient./Remote_host_said:_450_4.7.1_Client_host_rejected:_cannot_find_your_hostname,_[78.153.208.195]/Giving_up_on_187.31.0.11./
Jun 29 00:02:13 vps-1001108-595 qmail: 1309302133.898327 status: local 0/10 remote 7/20
Jun 29 00:02:14 vps-1001108-595 qmail: 1309302134.137833 delivery 74111: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connection._(#4.4.1)/
Jun 29 00:02:14 vps-1001108-595 qmail: 1309302134.137914 status: local 0/10 remote 6/20
Jun 29 00:02:19 vps-1001108-595 qmail: 1309302139.903536 delivery 74000: failure: 209.85.143.27_failed_after_I_sent_the_message./Remote_host_said:_550-5.7.1_[78.153.208.195_______1]_Our_system_has_detected_an_unusual_rate_of/550-5.7.1_unsolicited_mail_originating_from_your_IP_address._To_protect_our/550-5.7.1_users_from_spam,_mail_sent_from_your_IP_address_has_been_blocked./550-5.7.1_Please_visit_http://www.google.com/mail/help/bulk_mail.html_to_review/550_5.7.1_our_Bulk_Email_Senders_Guidelines._e25si1385223wes.137/
Jun 29 00:02:19 vps-1001108-595 qmail: 1309302139.903606 status: local 0/10 remote 5/20
Jun 29 00:02:19 vps-1001108-595 qmail-queue-handlers[15501]: Handlers Filter before-queue for qmail started ...

РЕДАКТИРОВАТЬ # 2
Вот результат netstat -p с imap и imaps строки удалены. Я также удалил свой ssh сессия

Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name   
tcp        0      1 78.153.208.195:40076        any-in-2015.1e100.net:smtp  SYN_SENT    24096/qmail-remote. 
tcp        0      1 78.153.208.195:40077        any-in-2015.1e100.net:smtp  SYN_SENT    24097/qmail-remote. 
udp        0      0 78.153.208.195:48515        125.64.11.158:4225          ESTABLISHED 20435/httpd

РЕДАКТИРОВАТЬ
Как выяснилось, сервер был взломан из-за уязвимости в OSCommerce, и некоторые сценарии PHP запускались удаленными клиентами для отправки почты. Это произошло из-за настроек безопасности 777 на /var/www/vhosts/<domain-name>/httpdocs/images каталог

Это,

tcp        0      0 78.153.208.195:imap         86-40-60-183-dynamic.:10029

- это внешнее соединение с использованием IMAP для чтения почты из почтового ящика на вашем сервере.

Это,

tcp        0      1 78.153.208.195:35563        news.avanport.pt:smtp       SYN_SENT

отправляет ли ваш сервер исходящую почту SMTP на news.avanport.pt

Не зная больше о том, что он делает, а что не должен делать, ни одна из этих вещей изначально не вызывает подозрений.

Вам нужно будет использовать mailqueue, проверить / var / log / mail * и конфигурацию почты, чтобы понять, правильно это или нет, или предоставить дополнительную информацию в вопросе.

Я не знаю, взломана ли ваша система, но:

  • вы должны установить действительную обратную запись DNS, если вы хотите отправлять почту, это были сообщения в почтовом журнале, принадлежащие

Jun 29 00:02:13 vps-1001108-595 qmail: 1309302133.886182 delivery 74116: deferral: 200.147.36.15_does_not_like_recipient./Remote_host_said:_450_4.7.1_Client_host_rejected:_cannot_find_your_hostname,_[78.153.208.195]/Giving_up_on_200.147.36.15./